Поделиться через

Настройка служб управления серверами Azure в большом масштабе

  • Статья

Чтобы подключить службы управления сервером Azure к серверам, необходимо выполнить следующие две задачи:

  • Развернуть агенты служб на серверах.
  • Включить решения для управления.

В этой статье рассматриваются три процесса, необходимые для выполнения этих задач.

  1. Развертывание необходимых агентов на виртуальных машинах Azure с помощью Политики Azure.
  2. Развертывание необходимых агентов на локальных серверах.
  3. Включение и настройка решений.

Примечание.

Перед подключением виртуальных машин к службам управления серверами Azure создайте необходимую рабочую область Log Analytics и учетную запись службы автоматизации Azure.

Развертывание расширений на виртуальных машинах Azure с помощью Политики Azure

Для работы всех решений по управлению, которые рассматривались в статье Средства и службы управления Azure, требуется установить агент Log Analytics на виртуальных машинах в Azure, а также на локальных серверах. С помощью Политики Azure можно подключить виртуальные машины Azure в большом масштабе. Назначьте политику, чтобы установить агент на виртуальных машинах Azure и подключить его к правильной рабочей области Log Analytics.

В Политике Azure есть встроенная инициатива политики, которая включает в себя агент Log Analytics и программу Microsoft Dependency Agent, необходимую Azure Monitor для виртуальных машин.

Примечание.

Дополнительные сведения о различных агентах для мониторинга Azure см. в статье с общими сведениями об агентах мониторинга Azure.

Назначение политик

Чтобы назначить политики, описанные в предыдущем разделе, выполните следующие действия.

  1. На портале Azure последовательно выберите Политика>Назначение>Назначение инициативы.

    Screenshot of the portal's policy interface with the Assignments option and Assign initiative option called out.

  2. На странице Назначение политики задайте значение параметру Область, нажав кнопку с многоточием (...) и затем выбрав либо группу управления, либо подписку. Либо выберите группу ресурсов. Затем нажмите кнопку Выбрать в нижней части страницы Область. Область определяет, каким ресурсам или группе ресурсов назначена политика.

  3. Щелкните многоточие (...) рядом с пунктом Определение политики, чтобы открыть список доступных определений. Чтобы отфильтровать определения инициативы, введите Azure Monitor в поле Поиск.

    Screenshot of the Enable Azure Monitor for V M initiative definition.

  4. Поле Имя назначения автоматически заполняется выбранным именем политики, но его можно изменить. Кроме того, можно добавить дополнительное описание, чтобы указать дополнительные сведения об этом назначении политики. Поле Кем назначено автоматически заполняется в зависимости от того, кто вошел в систему. Это поле является необязательным и поддерживает пользовательские значения.

  5. Для этой политики выберите Рабочая область Log Analytics для связывания с агентом Log Analytics.

    Screenshot of the Log Analytics workspace option.

  6. Установите флажок Расположение управляемого удостоверения. Если эта политика относится к типу DeployIfNotExists, для ее развертывания потребуется управляемое удостоверение. На портале будет создана учетная запись в соответствии с установленным флажком.

  7. Выберите Назначить.

Назначение политики будет развернуто в среде после завершения работы мастера. Для вступления политики в силу может потребоваться до 30 минут. Чтобы протестировать назначение политики, через 30 минут создайте виртуальные машины и проверьте, включен ли по умолчанию агент на виртуальной машине агент Log Analytics.

Установка агентов на локальных серверах

Примечание.

Перед подключением виртуальных служб управления серверами Azure к серверам создайте необходимую рабочую область Log Analytics и учетную запись службы автоматизации Azure.

Для локальных серверов необходимо скачать и установить агент Log Analytics и Microsoft Dependency Agent вручную и настроить их для подключения к нужной рабочей области. Необходимо указать идентификатор рабочей области и сведения о ключе. Чтобы получить эти сведения, перейдите в рабочую область Log Analytics на портале Azure, а затем выберите Параметры>Дополнительные параметры.

Screenshot of Log Analytics workspace advanced settings in the Azure portal

Включение и настройка решений

Чтобы включить решения, необходимо настроить рабочую область Log Analytics. Подключенные виртуальные машины Azure и локальные серверы получают решения из рабочих областей Log Analytics, к которым они подключены.

Управление обновлениями

Для решения "Управление обновлениями" и решения "Отслеживание изменений и инвентаризация" требуется и рабочая область Log Analytics, и учетная запись службы автоматизации Azure. Для правильной настройки этих ресурсов рекомендуется выполнять подключение с помощью учетной записи службы автоматизации. Дополнительные сведения см. в статье о подключении решения "Управление обновлениями" и решения "Отслеживание изменений и инвентаризация".

Рекомендуется включить решение "Управление обновлениями" для всех серверов. Решение "Управление обновлениями" предоставляется бесплатно для виртуальных машин Azure и локальных серверов. При включении решения "Управление обновлениями" с помощью учетной записи службы автоматизации в рабочей области создается конфигурация области. Вручную обновите область так, чтобы в нее входили компьютеры, на которые распространяется решение "Управление обновлениями".

Чтобы охватить существующие серверы, а также будущие серверы, необходимо удалить конфигурацию области. Для этого перейдите к учетной записи службы автоматизации на портале Azure. Выберите Управление обновлениями>Управление компьютером>Включить на всех доступных и будущих компьютерах. Этот параметр позволяет использовать решение "Управление обновлениями" для всех виртуальных машин Azure, подключенных к рабочей области.

Screenshot of Update Management in the Azure portal

Решения "Отслеживание изменений и инвентаризация"

Чтобы подключить решения "Отслеживание изменений и инвентаризация", выполните те же действия, что и для решения "Управление обновлениями". Дополнительные сведения о том, как подключить эти решения из учетной записи службы автоматизации, см. в статье о подключении решения "Управление обновлениями" и решения "Отслеживание изменений и инвентаризация".

Решение "Отслеживание изменений и инвентаризация" предоставляется бесплатно для виртуальных машин Azure и стоит 6 долл. США в месяц на каждый узел для локальных серверов. В эту цену включены возможности отслеживания изменений, проведения инвентаризации и Desired State Configuration. Если требуется зарегистрировать только определенные локальные серверы, выберите их. Рекомендуется подключить все производственные серверы.

Выбор на портале Azure

  1. Перейдите в учетную запись службы автоматизации, в которой включено решение "Отслеживание изменений и инвентаризация".
  2. Выберите элемент Отслеживание изменений.
  3. Выберите Управление компьютерами на панели вверху справа.
  4. Выберите параметр Включить для выбранных компьютеров. Затем щелкните Добавить рядом с именем компьютера.
  5. Нажмите кнопку Включить, чтобы включить решение для этих компьютеров.

Screenshot of Change Tracking in the Azure portal

Выбор с помощью сохраненных поисковых запросов

Можно настроить конфигурацию области для выбора локальных серверов. Конфигурация области использует сохраненные поисковые запросы.

Чтобы создать или изменить сохраненный поисковый запрос, выполните приведенные ниже действия.

  1. Перейдите в рабочую область Log Analytics, связанную с учетной записью службы автоматизации, настроенной на предыдущих шагах.

  2. В разделе Общие выберите Сохраненные поисковые запросы.

  3. В поле Фильтр введите Отслеживание изменений, чтобы отфильтровать список сохраненных поисковых запросов. В списке результатов выберите MicrosoftDefaultComputerGroup.

  4. Введите имя компьютера или VMUUID, чтобы включить компьютеры, которые нужно выбрать для решения "Отслеживание изменений и инвентаризация".

Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server names", "server1")
| distinct Computer

Примечание.

Имя сервера должно точно совпадать со значением в выражении и не должно содержать суффикс доменного имени.

  1. Выберите Сохранить. По умолчанию конфигурация области связана с сохраненным поисковым запросом MicrosoftDefaultComputerGroup. Она будет обновлена автоматически.

Журнал действий Azure

Журнал действий Azure также является частью Azure Monitor. Он предоставляет подробные сведения о событиях уровня подписки, происходящих в Azure.

Чтобы реализовать это решение, выполните приведенные ниже действия.

  1. На портале Azure последовательно выберите Все службы, Управление и система управления>Решения.
  2. В представлении Решения щелкните Добавить.
  3. Выполните поиск по условию Аналитика журнала действий и выберите соответствующий результат.
  4. Нажмите кнопку создания.

В поле Имя рабочей области необходимо указать имя созданной ранее рабочей области, в которой включено решение.

Работоспособность агентов Azure Log Analytics

Решение "Работоспособность агентов Azure Log Analytics" предоставляет сведения о работоспособности, производительности и доступности серверов Windows и Linux.

Чтобы реализовать это решение, выполните приведенные ниже действия.

  1. На портале Azure последовательно выберите Все службы, Управление и система управления>Решения.
  2. В представлении Решения щелкните Добавить.
  3. Выполните поиск по условию Работоспособность агентов Azure Log Analytics и выберите соответствующий результат.
  4. Нажмите кнопку создания.

В поле Имя рабочей области необходимо указать имя созданной ранее рабочей области, в которой включено решение.

После завершения создания экземпляр ресурса рабочей области отображается как AgentHealthAssessment при выборе Вид>Решения.

Оценка защиты от вредоносных программ

Решение для оценки защиты от вредоносных программ помогает выявлять серверы, которые заражены или подвержены повышенному риску заражения вредоносным ПО.

Чтобы реализовать это решение, выполните приведенные ниже действия.

  1. На портале Azure последовательно выберите Все службы, Управление и система управления>Решения.
  2. В представлении Решения щелкните Добавить.
  3. Выполните поиск по условию Оценка защиты от вредоносных программ и выберите соответствующий результат.
  4. Нажмите кнопку создания.

В поле Имя рабочей области необходимо указать имя созданной ранее рабочей области, в которой включено решение.

После завершения создания экземпляр ресурса рабочей области отображается как AntiMalware при выборе Вид>Решения.

Azure Monitor для виртуальных машин

Azure Monitor для виртуальных машин можно включить на странице представления для экземпляра виртуальной машины, как описано в статье о включении служб управления на одной виртуальной машине для оценки. Не следует включать решения непосредственно на странице Решения, как это делается для других решений, описанных в этой статье. В крупномасштабных развертываниях для включения правильных решений в рабочей области может быть проще использовать автоматизацию.

Microsoft Defender для облака

Рекомендуется подключить все серверы к Microsoft Defender для облака как минимум категории "Бесплатный". При этом вы получите базовые оценки безопасности и действенные рекомендации по обеспечению безопасности для вашей среды. Категория "Стандартный" предоставляет дополнительные преимущества. Подробнее см. в статье о расширенных функциях безопасности Microsoft Defender для облака.

Чтобы включить категорию "Бесплатный" для Microsoft Defender для облака, выполните приведенные ниже действия.

  1. Перейдите на страницу портала Defender для облака.
  2. В разделе POLICY и COMPLIANCE выберите политику безопасности.
  3. В области справа найдите созданный ресурс рабочей области Log Analytics.
  4. Выберите Изменить параметры для этой рабочей области.
  5. Выберите ценовую категорию.
  6. Выберите вариант Бесплатный.
  7. Выберите Сохранить.

Следующие шаги

Узнайте, как использовать автоматизацию для подключения серверов и генерации оповещений.

Автоматизация подключения и настройка оповещений